このトピックでは、Dedicated Host(DDH)でサポートされているシステムポリシーと、RAM ユーザーに権限を付与する際に参照できる対応する権限の説明について説明します。
システムポリシーとは
ポリシーは、ポリシーの構造と構文に基づいて記述される一連の権限を定義します。ポリシーを使用して、承認されたリソースセット、承認された操作セット、および承認条件を記述できます。 RAM は、システムポリシーとカスタムポリシーの 2 種類のポリシーを提供します。すべてのシステムポリシーは、Alibaba Cloud によって作成および更新されます。これらのポリシーは使用できますが、変更することはできません。ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーの作成、更新、削除ができます。Simple Application Server のリリースごとに、Simple Application Server でサポートされているシステムポリシーに新しい権限が追加され、RAM ユーザーが新しい機能にアクセスできるようになります。システムポリシーの更新は、RAM ユーザー、RAM ユーザーグループ、RAM ロールなど、ポリシーがアタッチされているすべての RAM アイデンティティに影響します。 RAM ポリシーの詳細については、[ポリシーの概要] をご参照ください。
システムポリシーは、新しいユーザーが Alibaba Cloud 管理コンソールで Alibaba Cloud 製品をすぐに使い始めることができるように設計されています。 Simple Application Server のシステムポリシーが付与された新しいユーザーは、数回クリックするだけで製品とそれに依存する製品にアクセスできます。システムポリシーでは、API 操作や CLI コマンドなどのより高度な方法も使用できます。高度な方法に精通している場合は、カスタムポリシーを使用して、どの API 操作を呼び出すことができるかをよりきめ細かく制御し、セキュリティを向上させることをお勧めします。
システムポリシーは、サービスシステムポリシー、サービロールポリシー、およびサービスにリンクされたロールポリシーに分類できます。一部の Alibaba Cloud 製品は、3 種類のポリシーのうち 1 つまたは 2 つのみをサポートしています。このトピックで説明されているポリシータイプが優先されます。
サービスシステムポリシー
AliyunECSFullAccess
AliyunECSFullAccess ポリシーを RAM ユーザーにアタッチすると、RAM ユーザーは専用ホストを管理する権限を持ちます。詳細については、[AliyunECSFullAccess] をご参照ください。
Aliyun ECS ReadOnlyAccess
AliyunECSReadOnlyAccess ポリシーを RAM ユーザーにアタッチすると、RAM ユーザーは専用ホストの読み取り権限のみを持ちます。詳細については、[AliyunECSReadOnlyAccess] をご参照ください。
関連情報
デフォルトでは、RAM アイデンティティには権限がありません。 RAM アイデンティティは、Alibaba Cloud アカウントの管理者が RAM アイデンティティに必要な権限を付与した後にのみ、Alibaba Cloud アカウント内のリソースにアクセスできます。リソースのセキュリティを確保するために、最小限の権限の原則に従って、Alibaba Cloud リソースにアクセスするために必要な権限を RAM アイデンティティに付与することをお勧めします。必要な権限を付与する方法の詳細については、以下のトピックをご参照ください。